안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 10월 31일~11월 06일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 163건이고 그중 악성은 54건으로 33.13%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 51건 대비 54건으로 3건이 증가했습니다. 일일 유입량은 하루 최저 3건(악성 1건)에서 최대 39건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 54건 중 Attach-Malware형이 46.3%로 가장 많았고 뒤이어 Attach-Phishing..

악성코드 분석 리포트 2021. 11. 8. 14:48

Experts spotted a phishing campaign impersonating security firm Proofpoint 사이버 범죄자들이 보안 회사인 Proofpoint를 사칭하여 피해자가 Microsoft Office 365 및 Google Gmail 크리덴셜을 넘겨주도록 속이고 있는 것으로 나타났습니다. 해당 피싱 메시지는 대출금 지불 요청을 미끼로 사용하며 "Re: Payoff Request"와 같은 제목을 사용합니다. Armorblox에서는 포스팅을 통해 아래와 같이 밝혔습니다. "이 이메일은 Proofpoint를 통해 보낸 보안 파일을 링크로 첨부한다고 주장합니다." “피해자가 링크를 클릭할 경우, Proofpoint의 브랜딩을 스푸핑하고 다양한 이메일 서비스 로그인 링크를 포함한..

국내외 보안동향 2021. 11. 8. 14:00

New Magecart group uses an e-Skimmer that avoids VMs and sandboxes Malwarebytes의 연구원들이 새로운 Magecart 그룹을 발견했습니다. 이들은 탐지 및 보안 연구원이 사용하는 가상 환경 내 실행을 피하기 위해 브라우저 스크립트를 사용합니다. 또한 이들은 온라인 스토어에서 결제 카드 데이터를 훔치기 위해 소프트웨어 스키머를 사용합니다. 일부 악성코드 개발자들은 가상 머신 회피 기능을 구현하고, VMware 또는 Virtual Box의 존재를 알려주는 레지스트리 키 및 기타 정보를 확인하지만, 전문가들은 웹 관련 공격에서 브라우저를 통해 가상화 환경을 탐지하는 것을 거의 보지 못했다고 밝혔습니다. 연구원들은 WebGL JavaScript API..

국내외 보안동향 2021. 11. 8. 09:00

[11월 첫 번째 주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No. 문자내용 1 [대한통운]고객_에게연락할/수/없으니배송정/보/확인해:주:세요 [ bit[.]ly/xxxxxxxx ] 2 [CJ대한통운]고객님의 택배가 16-18시 배송될 예정입니다_6438******71[ hxxps://iii[.]im/xxxx ] 3 상품 택배보냈습니다 확인부탁합니다 asq[.]kr/xxxxxxxxxx 4 [Web발신][국가보험공단]종합진검진내용 발송완료.결과조회[xxx.xxxx[.]cool] 5 OOO님 KRW 969,000원 결제완료 hxxp://xxx.xxx..

안전한 PC&모바일 세상/스미싱 알림 2021. 11. 5. 17:21

Cisco warns of hard-coded credentials and default SSH key issues in some products Cisco가 인증되지 않은 공격자가 하드 코딩된 크리덴셜 또는 기본 SSH 키를 사용하여 취약한 기기에 로그인할 수 있는 두 가지 치명적인 취약점을 수정하는 보안 업데이트를 공개했습니다. CVE-2021-34795로 등록된 첫 번째 취약점은 Cisco Catalyst PON(Passive Optical Network) 시리즈 스위치 ONT(Optical Network Terminal)에 영향을 미칩니다. 회사는 권고를 발표하여 아래와 같이 밝혔습니다. “Cisco Catalyst PON(Passive Optical Network) 시리즈 스위치 ONT(Opti..

국내외 보안동향 2021. 11. 5. 14:00

Critical RCE Vulnerability Reported in Linux Kernel's TIPC Module 사이버 보안 연구원들이 리눅스 커널의 TIPC(Transparent Inter Process Communication) 모듈에서 커널 내에서 임의 코드를 실행하고 취약한 시스템을 제어하기 위해 로컬 및 원격으로 악용 가능한 취약점을 공개했습니다. 사이버 보안 회사인 SentinelOne은 금일 보고서를 발표해 해당 힙 오버플로우 취약점이 "커널 권한을 얻기 위해 네트워크 내에서 로컬 또는 원격으로 악용 가능하며 공격자가 전체 시스템을 해킹할 수 있다"고 밝혔습니다. TIPC는 동적 클러스터 환경에서 실행되는 노드용으로 설계된 전송 계층 프로토콜로 TCP와 같은 다른 프로토콜보다 더욱 효율..

국내외 보안동향 2021. 11. 5. 09:00

BlackMatter ransomware moves victims to LockBit after shutdown BlackMatter 랜섬웨어 운영이 중단됨에 따라 기존 협력 파트너들이 지속적인 강탈을 위해 피해자를 경쟁작인 LockBit 랜섬웨어 사이트로 옮기고 있는 것으로 나타났습니다. 지난 3일, BlackMatter 랜섬웨어 그룹의 멤버들이 실종되고 법 집행 기관의 압박이 높아짐에 따라 운영을 중단한다는 뉴스가 발행되었습니다. 랜섬웨어 운영자는 협력 파트너가 피해자를 계속해서 강탈할 수 있도록 기존 감염 건을 위한 복호화 키를 받을 수 있도록 허용하고 있습니다. BleepingComputer는 BlackMatter의 인프라가 아직 활성화되어 있는 동안 협력 파트너가 기존 피해자를 LockBit 랜..

국내외 보안동향 2021. 11. 4. 14:00

Stealthier version of Mekotio banking trojan spotted in the wild 뱅킹 트로이목마인 Mekotio의 새로운 버전이 실제 공격에서 사용되고 있는 것으로 나타났습니다. 연구원들은 이 트로이목마가 새롭고 더욱 은밀한 감염 방식을 사용하고 있다고 밝혔습니다. Mekotio는 지난 2020년 여름 라틴 아메리카 국가를 노린 캠페인을 통해 배포된 것이 마지막 활동이었습니다. 최근 공격에서도 감염 체인을 시작하는 피싱 메일에 스페인어를 사용하는 것으로 보아 타깃 범위는 동일한 것으로 보입니다. 새로운 공격 흐름 감염은 PowerShell 스크립트를 받아와 실행하는 난독화된 배치 스크립트를 포함한 ZIP 파일을 첨부한 피싱 메일로 시작됩니다. PowerShell 스크립..

국내외 보안동향 2021. 11. 4. 09:00